Noabot, une variante de Mirai qui affecte les appareils basés sur Linux

Noabot

Noabot, un botnet qui affecte les appareils Linux

Il y a quelques jours, des informations ont été publiées en ligne concernant un nouveau malware ciblant les appareils basés sur Linux. Baptisé comme "Noabot", est une variante personnalisée de Mirai, qui compromet les appareils depuis au moins l’année dernière et a été détecté par les chercheurs en cybersécurité.

Pour ceux qui ignorent Écoutez, vous devez savoir qu'il s'agit d'un malware qui infecte les appareils IoT basés sur Linux, tels que des serveurs, des routeurs et des webcams, pour former des botnets qui mènent des attaques à grande échelle, telles que des attaques par déni de service (DDoS). Le code source de Mirai a été publié en 2016, permettre à d'autres de créer leurs propres variantes, comme Noabot, pour mener leurs propres attaques.

À propos de Noabot

Le danger de Noabot réside dans sa capacité à installer un logiciel de minage de cryptomonnaie sur les appareils compromis, ainsi que leur capacité à masquer leur fonctionnement interne, ce qui les rend difficiles à détecter et à supprimer.

Regarder, Connu pour sa capacité à se propager et son utilisation dans les attaques par déni de service distribué (DDoS), il se distingue par sa conception comme un ver, ce qui signifie qu'il se réplique une fois qu'il infecte un appareil Linux. Sa méthode de propagation traditionnelle consiste à rechercher sur Internet des appareils acceptant les connexions Telnet, essayer de déchiffrer les mots de passe par défaut ou courants. Une fois qu’il infecte un appareil, il recherche d’autres appareils à infecter de la même manière.

Toutefois, NoaBot a une approche différente, car au lieu de cibler les mots de passe Telnet faibles, NoaBot attaque les mots de passe faibles qui autorisent les connexions SSH. De plus, contrairement à Mirai, NoaBot n’est pas utilisé pour mener des attaques DDoS. Au lieu de cela, il installe un logiciel d'extraction de crypto-monnaie, tel qu'une version modifiée de XMRig, afin que les acteurs malveillants puissent générer de la crypto-monnaie en utilisant les ressources des victimes.

De plus, NoaBot a été utilisé pour propager P2PInfect, un ver indépendant révélé par des chercheurs de Palo Alto Networks. Au cours des 12 derniers mois, Akamai surveille NoaBot dans un pot de miel qui simule de vrais appareils Linux, traquant diverses attaques dans la nature. Les attaques proviennent de 849 adresses IP différentes, dont la plupart hébergent probablement des appareils déjà infectés.

« À première vue, NoaBot n’est pas une campagne très sophistiquée. Il s’agit « simplement » d’une variante de Mirai et d’un mineur de crypto-monnaie XMRig, qui sont courants aujourd’hui. Cependant, les obscurcissements ajoutés au malware et les ajouts au code source d'origine dressent un tableau très différent des capacités des acteurs de la menace », a écrit Stiv Kupchik, chercheur principal en sécurité chez Akamai.

Selon les chercheurs d'Akamai, la fonctionnalité la plus avancée de NoaBot réside dans la manière dont le botnet installe sa variante du logiciel d'extraction de cryptomonnaie XMRig. NoaBot présente un certain nombre de fonctionnalités inhabituelles qui le distinguent des autres variantes de logiciels malveillants, telles que Mirai, et rendent plus difficile la détection et l'analyse par les chercheurs en sécurité :

  1. Paramètres chiffrés ou obscurcis- NoaBot stocke les paramètres de configuration cryptés ou masqués et ne les déchiffre qu'une fois XMRig chargé en mémoire, garantissant ainsi la confidentialité des acteurs malveillants. Les chaînes lisibles par l'homme incluses dans le code de NoaBot sont obscurcies plutôt que enregistrées en texte brut, ce qui rend difficile l'extraction des détails du binaire.
  2. Utiliser UClibc: NoaBot est compilé à l'aide de la bibliothèque de code UClibc au lieu de la bibliothèque GCC utilisée par Mirai standard, ce qui peut modifier la façon dont les programmes antivirus détectent NoaBot et le classent.
  3. Détection difficile: NoaBot est compilé de manière statique et sans symboles, ce qui rend difficile l'ingénierie inverse et l'analyse des logiciels malveillants.
  4. Exécution aléatoire: Le binaire NoaBot s'exécute à partir d'un dossier généré aléatoirement dans le répertoire /lib, ce qui rend difficile la détection des infections sur les appareils.
  5. Dictionaire personnalisé- NoaBot remplace le dictionnaire Mirai standard par un dictionnaire personnalisé plus grand, ce qui rend les tests de force brute pour les mots de passe plus compliqués.
  6. Pointez vers SSH: NoaBot remplace le scanner Telnet de Mirai par un scanner SSH personnalisé.
  7. Capacités d'intrusion: NoaBot dispose de capacités post-intrusion telles que l'installation d'une nouvelle clé SSH autorisée qui permet à l'attaquant d'accéder comme une porte dérobée pour télécharger et exécuter des binaires supplémentaires ou les diffuser sur de nouveaux appareils.

enfin si tu es intéressé à en savoir plus, vous pouvez vérifier les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.